Accueil
Le quotidien du droit en ligne
-A+A
Article

Sanction de Discord par la CNIL

Hormis la constatation de manquements qui deviennent récurrents, la décision de la CNIL se distingue par la reconnaissance du respect de certaines dispositions du RGPD, ainsi que par quelques raisonnements sur le privacy by default et l’analyse d’impact relative à la protection des données.

par Cécile Crichtonle 9 décembre 2022

Le 10 novembre 2022, la CNIL prononce à l’encontre du célèbre exploitant du logiciel de chat une amende, cette fois-ci non assortie d’une astreinte. La société étant localisée aux États-Unis, se posait naturellement la question de l’applicabilité du Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et de la compétence de la CNIL. Les services de Discord sont adressés à des personnes concernées situées dans le territoire de l’Union, ce qui rend le RGPD applicable sur le fondement de son article 3, § 2, a). En outre, le mécanisme du guichet unique doit être exclu en l’absence d’établissement sur le territoire de l’Union, ce qui rend la CNIL territorialement compétente pour les services visant des personnes résidant sur le territoire français, conformément à l’article 56 du RGPD.

Sur le fond, la CNIL n’a pas retenu certains manquements, ce qui reste peu habituel et mérite d’être soulevé. En outre, des éléments notables figurent dans l’appréciation du manquement au principe de privacy by default ainsi qu’à l’obligation d’effectuer une Analyse d’impact relative à la protection des données (AIPD).

Des manquements non constitués

Quand bien même la politique de confidentialité était aisément accessible, celle-ci était rédigée en langue anglaise, ce qui contreviendrait au principe de transparence prévu à l’article 12, § 1er, du RGPD. Toutefois, il s’est avéré que l’absence de traduction française provenait d’une difficulté technique rapidement résolue, menant ainsi la formation restreinte à ne pas retenir le manquement.

Lorsque les personnes concernées exprimaient leur droit d’opposition au traitement ayant pour finalité l’amélioration des services de Discord, seule « l’association de l’alias à l’identifiant de l’utilisateur » était supprimée. Selon le rapporteur, la rupture de ce lien est insuffisante en ce que les données en cause continuent d’être traitées, ce qui méconnaitrait l’obligation de respecter le droit d’opposition des personnes (RGPD, art. 21, § 1er). En réaction, la société indiquait que cette...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :